Beispiel für Bot-Kontrolle: Einen bestimmten blockierten Bot zulassen - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiel für Bot-Kontrolle: Einen bestimmten blockierten Bot zulassen

Es ist möglich, dass ein Bot durch mehr als eine der Bot-Control-Regeln blockiert wird. Führen Sie für jede Blockierungsregel die folgenden Schritte aus.

Wenn eine AWS WAF Bot-Kontrollregel einen Bot blockiert, den Sie nicht blockieren möchten, gehen Sie wie folgt vor:

  1. Identifizieren Sie die Bot-Control-Regel, die den Bot blockiert, in den Protokollen. Die Blockierungsregel wird in den Protokollen in den Feldern angegeben, deren Namen mit terminatingRule beginnen. Informationen zu den Web-ACL-Protokollen finden Sie unter AWS WAF Web-ACL-Verkehr protokollieren. Merken Sie sich die Bezeichnung, die die Regel den Anforderungen hinzufügt.

  2. Überschreiben Sie in Ihrer Web-ACL die Aktion der Blockierungsregel, sodass sie zählt. Bearbeiten Sie dazu in der Konsole die Regelgruppenregel in der Web-ACL und wählen Sie Count für die Regel eine Regelaktion außer Kraft setzen. Dadurch wird sichergestellt, dass der Bot nicht durch die Regel blockiert wird, aber die Regel wendet ihre Bezeichnung trotzdem auf übereinstimmende Anfragen an.

  3. Fügen Sie Ihrer Web-ACL nach der verwalteten Bot-Control-Regelgruppe eine Regel für den Bezeichnungsabgleich hinzu. Konfigurieren Sie die Regel so, dass sie mit der Bezeichnung der überschriebenen Regel übereinstimmt und alle passenden Anfragen blockiert werden, mit Ausnahme des Bots, den Sie nicht blockieren möchten.

    Die Web-ACL ist nun so konfiguriert, dass der Bot, den Sie zulassen möchten, nicht mehr von der Blockierungsregel blockiert wird, die Sie anhand der Protokolle identifiziert haben.

Überprüfen Sie den Datenverkehr und die Protokolle erneut, um sicherzugehen, dass der Bot durchgelassen wird. Sollte das nicht der Fall sein, führen Sie die oben genannten Schritte erneut durch.

Angenommen, Sie möchten alle Überwachungs-Bots mit Ausnahme von pingdom blockieren. In diesem Fall überschreiben Sie die CategoryMonitoring Regel, um zu zählen, und schreiben dann eine Regel, um alle überwachenden Bots außer denen mit dem Bot-Namen zu blockieren. pingdom

Die folgende Regel verwendet die von Bot Control verwaltete Regelgruppe, setzt jedoch die Regelaktion für CategoryMonitoring das Zählen außer Kraft. Die Kategorieüberwachungsregel wendet ihre Bezeichnungen wie üblich auf übereinstimmende Anforderungen an, zählt sie aber nur, anstatt die übliche Blockierungsaktion auszuführen. 

{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
	  "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "CategoryMonitoring"
        }
      ],
      "ExcludedRules": []
    }
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AWS-AWSBotControl-Example"
  }
}

Die folgende Regel führt einen Abgleich mit der Bezeichung für die Kategorieüberwachung durch, die die vorangehende Regel CategoryMonitoring zu passenden Webanforderungen hinzufügt. Unter den Anforderungen der Kategorieüberwachung blockiert diese Regel alle bis auf diejenigen, die eine Bezeichnung für den Botnamen pingdom haben.

Die folgende Regel muss in der Verarbeitungsreihenfolge der Web-ACLs nach der vorhergehenden verwalteten Bot-Control-Regelgruppe ausgeführt werden. 

{
      "Name": "match_rule",
      "Priority": 10,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
              }
            },
            {
              "NotStatement": {
                "Statement": {
                  "LabelMatchStatement": {
                    "Scope": "LABEL",
                    "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
                  }
                }
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "match_rule"
      }
}